СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Газинформсервис
24.04.2025
#Статьи #Dev#ИБ#ИИ#Инфра#Облака

Создание системы раннего обнаружения инсайдерских угроз: защита от внутренних атак

Создание системы раннего обнаружения инсайдерских угроз: защита от внутренних атак

Изображение: recraft

В соответствии с таксономией киберрисков (например, FAIR), проявление угроз со стороны инсайдеров — едва ли не самый непредсказуемый источник злонамеренных действий. Инсайдерские угрозы — это риски, исходящие от сотрудников, подрядчиков или партнёров, которые умышленно или случайно наносят ущерб организации. Риск потенциального финансового и репутационного ущерба от утечки данных, реализации крупных мошеннических сценариев и компрометации информационных систем компании может исходить от рядовых сотрудников, подрядчиков или партнёров.

Выявление атак на ранних стадиях требует комплексного подхода. Ключевая тактика — профилирование учётных записей и отслеживание отклонений в «цифровом портрете» пользователей. Для этого используются традиционные инструменты (SIEM, DLP) и современные решения на базе UBA (User Behavior Analytics), сочетающие машинное обучение (МО) и искусственный интеллект (ИИ).

Однако человеческая «рука» (скорее, мозг) в поиске инсайдеров имеет немаловажное значение. Даже продвинутые алгоритмы ИИ не способны распознать тонкие признаки злонамеренности в логах, которые заметны лишь опытному аналитику. Например, психометрический анализ — один из важнейших элементов при выявлении киберпреступников на ранней стадии злодеяния. Такая оценка может проводиться в режиме реального времени — через метод «360 градусов» или анализ базовых поведенческих линий сотрудников. Эти данные коррелируют с событиями в SIEM, что повышает точность ручного расследования.

Что же помогает человеку искать злодеев?

Стандарт де-факто при проектировании защиты — это SIEM-система. Независимо от архитектуры, SIEM агрегирует и коррелирует данные из логов пользовательских хостов, серверов, сетевых устройств и средств защиты (DLP, IDS/IPS, антивирусов). Интеграция со справочниками (например, Active Directory) обогащает контекст, формируя единую картину угроз.

Сбор логов из разнородных источников позволяет получить наглядную картину происходящих событий в корпоративной сети. SIEM при настройке правил корреляции позволяет связывать отдельные события в цепочки, что даёт возможность выявить инциденты, которые сложно заметить в разрозненных отчётах. Например, SIEM может обнаружить подозрительный сетевой трафик, если сотрудник передаёт большие объёмы данных в нерабочее время или через нестандартные каналы. Подозрительные паттерны выявляются на основе цепочки действий или однократного экшена на конечном устройстве, которые повлекли регистрацию алерта. Например, запуск вредоносного ПО на пользовательском хосте или подозрительные SQL-запросы от пользователя, не связанного с анализом данных.

SIEM — ключевой инструмент для обнаружения инсайдерских угроз, но его эффективность зависит от качества настройки, интеграции с другими системами и анализа контекста. Это не «волшебная таблетка», а часть многоуровневой защиты, включающей политики, обучение сотрудников и контроль доступа.

Популярные продукты класса SIEM (выборка авторская):

• Splunk,

• Arcsight,

• KUMA («Лаборатория Касперского»),

• MaxPatrol SIEM (Positive Technologies),

• RuSIEM,

• Ankey SIEM NG («Газинформсервис»).

Традиционное средство защиты, направленное на мониторинг и выявление потенциальных инсайдеров, — это DLP-система.

Основная задача DLP — контролировать, мониторить и блокировать передачу конфиденциальных данных через каналы утечки (электронная почта, интернет, съёмные носители, печать и др.) в соответствии с установленными политиками безопасности в компании. Используются два основных способа перехвата данных: серверный (мониторинг трафика на серверах) и агентский (установка агентов на компьютерах сотрудников). Для работы DLP-системы требуется определить объекты защиты (форматы документов, категории документов и т. д.) и настроить правила и политики безопасности. Например, DLP позволит заблокировать передачу конфиденциальных данных при передаче через электронную почту, физические носители, мессенджеры, веб-ресурсы или облачные хранилища.

Популярные продукты класса DLP (выборка авторская):

• SearchInform,

• Solar Dozor,

• Infowatch Traffic Monitor / Person Monitor,

• Стахановец,

• StaffCop,

• Forcepoint,

• McAfee Enterprise Security Manager.

Упомянутые выше инструменты хороши для базовой аналитики и позволяют корректно обработать 50% инцидентов. Всегда стоит помнить о том, что инсайдеры могут использовать стеганографию или медленную эксфильтрацию, поэтому SIEM с охватом данных из DLP важно дополнять ML-аналитикой. Кроме того, DLP часто пропускает мимо контекстного анализа файлы с изменёнными форматами файлов. В то же время DLP не может анализировать данные в зашифрованных каналах (HTTPS, VPN) без интеграции с SSL-инспекцией. Системы фокусируются на ключевых словах/шаблонах, но не анализируют поведенческий контекст (например, «зачем менеджер продаж скачивает исходный код?»). Более сложная аналитика предполагается в случаях, если действия инсайдера происходят в рамках стандартных прав доступа.

Более продвинутая аналитика обеспечивается с помощью системы поведенческого анализа (англ. UEBA — User and Entity Behavior Analytics) — это инструменты в кибербезопасности, которые анализируют через машинное обучение поведение пользователей и сущностей (устройств, приложений, аккаунтов) для выявления аномалий, которые могут свидетельствовать об угрозах, особенно инсайдерских. Машинное обучение строит «базовый профиль» поведения пользователя (время активности, типичные запросы, объём данных) и выявляет отклонения (например, массовое скачивание файлов или доступ к нехарактерным ресурсам). При создании профилей учитываются контекстные метки (должность, история нарушений, уровни доступа) и «цифровые отпечатки» (типичные действия, IP-адреса и устройства), а также воспроизводится визуализация связей между пользователями, файлами и событиями для выявления скрытых мошеннических схем. В качестве интересных событий может рассматриваться резкое увеличение объёма скачиваемых данных в связке с доступом к ресурсам вне рабочего графика и доступами, обеспечивая многогранную аналитику. Понятие многогранной аналитики раскрывается в раннем (предиктивном) обнаружении инсайдера, снимая ответственность с вышестоящего руководителя сотрудника, и формировании оценки риска при подозрительном поведении (например, сотрудник начинает загружать много документов перед увольнением).

Стоит отметить, что UEBA может быть частью SIEM, DLP или целых SOC-платформ.

Популярные продукты класса UBA/UEBA (выборка авторская):

• Exabeam Advanced Analytics,
• Splunk UBA (Cisco),
• Microsoft Advanced Threat Analytics (ATA) (Microsoft),
• Infowatch Prediction,
• Ankey ASAP («Газинформсервис»),
• Security Vision UEBA,
• MaxPatrol BAD (Positive Technologies).

О чём стоит помнить при проектировании системы раннего обнаружения инсайдерских угроз, состоящей из SIEM, DLP и UBA:

  1. Проведение аудита источников данных (СрЗИ, AD, прокси, почта, CRM, …). Все классы решений, используемые для обработки данных, должны передавать данные, помимо рабочих станций.
  2. Выбор оптимального хранилища для агрегированных данных: «озеро данных» или централизованная БД.
  3. Выбор аналитического движка: Machine Learning (приоритет) или статистические алгоритмы.
  4. Обеспечение наглядной визуализации: дашборды и отчёты.
  5. Проработка концепции системы реакции на аномальные действия, актуальной для организации, а также подбор движков для реализации: уведомления аналитика о поведенческой аномалии и превентивная блокировка потенциального инсайдера.
  6. Разработка моделей нормального поведения: интеграция механизмов машинного обучения (кластеризация, временные ряды), простая статистика (средние значения, стандартные отклонения) и профилей пользователей/устройств. Настройка аномалий и порогов (какие отклонения считать аномалией, назначить уровни риска).

Для успешного противодействия инсайдерским угрозам требуется симбиоз передовых технологий и человеческой внимательности. SIEM, DLP и UEBA формируют цифровой щит, выявляя аномалии в поведении и блокируя утечки, но ИИ с машинным обучением бессилен против инсайдерских схем. Психометрический анализ и ручная корреляция событий вскрывают то, что алгоритмы не видят: скрытые мотивы, паттерны предательства и тонкие помыслы. Эффективная защита — это не просто набор инструментов, а живая экосистема, где машинное обучение дополняется интуицией аналитиков, а политики безопасности переплетаются с культурой доверия. Чтобы остаться на шаг впереди инсайдеров, компаниям нужно не только внедрять технологии, но и постоянно учиться — предугадывать, адаптироваться и видеть невидимое.

Статью подготовила Ирина Дмитриева, инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис»

Газинформсервис
Автор: Газинформсервис
«Газинформсервис» — отечественный разработчик программного обеспечения и оборудования для защиты информационной безопасности и комплексной инженерно-технической охраны.
Комментарии: